Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengontrol akses ke alias penyimpanan kebijakan
Prinsipal yang mengelola alias toko kebijakan harus memiliki izin untuk berinteraksi dengan alias penyimpanan kebijakan tersebut dan, untuk beberapa operasi, penyimpanan kebijakan yang dikaitkan dengan alias penyimpanan kebijakan. Anda dapat memberikan izin ini menggunakan IAM kebijakan.
Bagian berikut menjelaskan izin yang diperlukan untuk membuat dan mengelola alias penyimpanan kebijakan.
izin terverifikasi: CreatePolicyStoreAlias
Untuk membuat alias penyimpanan kebijakan, prinsipal memerlukan izin berikut untuk alias penyimpanan kebijakan dan untuk penyimpanan kebijakan terkait.
-
verifiedpermissions:CreatePolicyStoreAliasuntuk alias toko kebijakan. Berikan izin ini dalam IAM kebijakan yang dilampirkan pada kepala sekolah yang diizinkan untuk membuat alias toko kebijakan.Contoh pernyataan kebijakan berikut menentukan alias penyimpanan kebijakan tertentu dalam elemen.
ResourceTetapi Anda dapat mencantumkan beberapa alias penyimpanan kebijakan ARNs atau menentukan pola alias toko kebijakan, seperti."sample*"Anda juga dapat menentukanResourcenilai"*"untuk mengizinkan prinsipal membuat alias penyimpanan kebijakan apa pun di Wilayah Akun AWS dan.{ "Sid": "IAMPolicyForCreateAlias", "Effect": "Allow", "Action": "verifiedpermissions:CreatePolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store" } -
verifiedpermissions:CreatePolicyStoreAliasuntuk toko kebijakan terkait. Izin ini harus diberikan dalam suatu IAM kebijakan.{ "Sid": "PolicyStorePermissionForAlias", "Effect": "Allow", "Action": "verifiedpermissions:CreatePolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111" }
izin terverifikasi: GetPolicyStoreAlias
Untuk mendapatkan rincian tentang alias toko kebijakan tertentu, kepala sekolah harus memiliki verifiedpermissions:GetPolicyStoreAlias izin untuk alias toko kebijakan dalam kebijakan. IAM
Contoh pernyataan kebijakan berikut memberikan izin utama untuk mendapatkan alias toko kebijakan tertentu.
{ "Sid": "IAMPolicyForGetAlias", "Effect": "Allow", "Action": "verifiedpermissions:GetPolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store" }
izin terverifikasi: ListPolicyStoreAliases
Untuk membuat daftar alias penyimpanan kebijakan di Wilayah Akun AWS dan, kepala sekolah harus memiliki verifiedpermissions:ListPolicyStoreAliases izin dalam IAM kebijakan. Karena kebijakan ini tidak terkait dengan penyimpanan kebijakan tertentu atau sumber alias penyimpanan kebijakan, nilai elemen sumber daya dalam kebijakan harus"*".
Misalnya, pernyataan IAM kebijakan berikut memberikan izin utama untuk mencantumkan semua alias penyimpanan kebijakan di Akun AWS.
{ "Sid": "IAMPolicyForListingAliases", "Effect": "Allow", "Action": "verifiedpermissions:ListPolicyStoreAliases", "Resource": "*" }
izin terverifikasi: DeletePolicyStoreAlias
Untuk menghapus alias toko kebijakan, prinsipal memerlukan izin hanya untuk alias toko kebijakan.
catatan
Menghapus alias toko kebijakan tidak berpengaruh pada penyimpanan kebijakan terkait, meskipun aplikasi yang mereferensikan alias toko kebijakan akan menerima kesalahan. Jika Anda salah menghapus alias toko kebijakan, Anda dapat membuatnya kembali setelah periode reservasi 24 jam.
Kepala sekolah membutuhkan verifiedpermissions:DeletePolicyStoreAlias izin untuk alias toko kebijakan. Berikan izin ini dalam IAM
kebijakan yang dilampirkan pada kepala sekolah yang diizinkan untuk menghapus alias toko kebijakan.
Contoh pernyataan kebijakan berikut menentukan alias penyimpanan kebijakan dalam elemen. Resource Tetapi Anda dapat mencantumkan beberapa alias penyimpanan kebijakan ARNs atau menentukan pola alias toko kebijakan, seperti. "sample*" Anda juga dapat menentukan Resource nilai "*" untuk mengizinkan prinsipal menghapus alias penyimpanan kebijakan apa pun di Wilayah Akun AWS dan.
{ "Sid": "IAMPolicyForDeleteAlias", "Effect": "Allow", "Action": "verifiedpermissions:DeletePolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store" }
Membatasi Izin alias penyimpanan Kebijakan
Anda dapat menggunakan alias penyimpanan kebijakan untuk mereferensikan penyimpanan kebijakan dalam operasi apa pun yang menerima policyStoreId bidang sebagai input. Jika Anda melakukannya, Izin Terverifikasi Amazon memberikan otorisasi verifiedpermissions:GetPolicyStoreAlias terhadap alias penyimpanan kebijakan dan operasi yang diminta terhadap penyimpanan kebijakan terkait.
Misalnya, jika IsAuthorized operasi dilakukan dengan menggunakan alias toko kebijakan, prinsipal membutuhkan keduanya:
-
verifiedpermissions:GetPolicyStoreAliasizin untuk alias toko kebijakan -
verifiedpermissions:IsAuthorizedizin untuk toko kebijakan terkait
Contoh kebijakan berikut memberikan izin untuk memanggil IsAuthorized menggunakan alias penyimpanan kebijakan tertentu.
{ "Sid": "IAMPolicyForAliasUsage", "Effect": "Allow", "Action": "verifiedpermissions:GetPolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/example-policy-store" }, { "Sid": "IAMPolicyForPolicyStoreOperation", "Effect": "Allow", "Action": "verifiedpermissions:IsAuthorized", "Resource": "arn:aws:verifiedpermissions::123456789012:policy-store/PSEXAMPLEabcdefg111111" }
Untuk membatasi alias penyimpanan kebijakan mana yang dapat digunakan oleh prinsipal, batasi verifiedpermissions:GetPolicyStoreAlias izinnya. Misalnya, kebijakan berikut memungkinkan prinsipal untuk menggunakan alias toko kebijakan apa pun kecuali yang dimulai denganRestricted.
{ "Sid": "IAMPolicyForAliasAllow", "Effect": "Allow", "Action": "verifiedpermissions:GetPolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/*" }, { "Sid": "IAMPolicyForAliasDeny", "Effect": "Deny", "Action": "verifiedpermissions:GetPolicyStoreAlias", "Resource": "arn:aws:verifiedpermissions:us-east-1:123456789012:policy-store-alias/Restricted*" }
